本步驟說明如何建立 Apigee Hybrid 運作所需的 TLS 憑證。
建立傳輸層安全標準 (TLS) 憑證
您必須在 Apigee Hybrid 設定中,為執行階段 Ingress 閘道提供 TLS 憑證。基於本快速入門導覽課程的目的 (非實際工作環境的試用安裝),執行階段閘道可以接受自行簽署的憑證。在下列步驟中,openssl 會用於產生自行簽署的憑證。
在這個步驟中,您會建立 TLS 憑證檔案,並將其新增至 $APIGEE_HELM_CHARTS_HOME/certs 目錄。在「
步驟 7:建立覆寫」中,您會將檔案路徑新增至叢集設定檔。
- 為憑證檔案建立目錄。Helm 圖表無法讀取圖表目錄以外的檔案,且 TLS 憑證是透過
apigee-virtualhost圖表管理。因此,請在$APIGEE_HELM_CHARTS_HOME/apigee-virtualhost/目錄中建立憑證檔案的目錄。例如:
mkdir $APIGEE_HELM_CHARTS_HOME/apigee-virtualhost/certs/
-
執行下列指令,建立憑證檔案並儲存至
$APIGEE_HELM_CHARTS_HOME/apigee-virtualhost/certs目錄:openssl req -nodes -new -x509 -keyout $APIGEE_HELM_CHARTS_HOME/apigee-virtualhost/certs/keystore_$ENV_GROUP.key -out \ $APIGEE_HELM_CHARTS_HOME/apigee-virtualhost/certs/keystore_$ENV_GROUP.pem -subj '/CN='$DOMAIN'' -days 3650其中:
- DOMAIN 是您在「建立環境群組」中建立環境群組時,提供的網域做為主機名稱。
- ENV_GROUP 是指定網域做為主機名稱的環境群組名稱。如果您為多個環境群組建立金鑰,建議在金鑰和金鑰儲存區名稱中加入環境群組名稱,以免不小心重複使用相同的網域值。
這項指令會建立一組自行簽署的憑證/金鑰,可用於快速入門安裝作業。
如果您有其他環境群組,且這些群組的網域名稱不重複,請為每個環境群組重複執行這個步驟。您會在叢集設定步驟中參照這些群組和憑證。
-
使用下列指令檢查檔案是否位於
$APIGEE_HELM_CHARTS_HOME/apigee-virtualhost/certs目錄:ls $APIGEE_HELM_CHARTS_HOME/apigee-virtualhost/certs
您應該會看到兩個檔案:
keystore_ENV_GROUP.pem或keystore_ENV_GROUP.crt是自行簽署的 TLS 憑證檔案。keystore_ENV_GROUP.key是金鑰檔案。
您現在擁有在 Kubernetes 叢集中管理 Apigee Hybrid 的必要憑證。接下來,您將建立 Kubernetes 用來將混合式執行階段元件部署至叢集的覆寫檔案。